首页 > 关于我们 > 新闻动态 > 公司新闻

重磅 | 启明星辰集团发布《2020-2021网络安全态势观察报告》

发布时间 2021-08-18

2021年对于启明星辰集团来讲是砥砺前行、豪情万丈的一年。面对新形势、新征程,我们将迎接新的数字时代。站在新起点,面对复杂严峻的安全态势,我们理应对过去一年多的网络安全状况进行全面总结、思考和展望。


为此,启明星辰集团发布《2020~2021网络安全态势观察报告》,以观察者视角尝试剖析2020年全年至2021年上半年网络安全形势及其变化,希望以此为各行业以及相关企事业单位提供网络安全战略和决策的参考。


微信图片_20210819181316.png


1、网络安全法制化建设稳步推进,数据安全逐渐成为焦点


习近平总书记指出:安全是发展的前提,发展是安全的保障。这表明在塑造数字化发展这个新“动力系统”的同时,也要注重实现网络和数据安全“制动系统”。唯有如此,才能形成健康、良性、高质量的数字化发展新格局。

近几年,我国网络安全法制化建设稳步推进。网络安全法、数据安全法、网络安全审查办法、个人信息保护法、网络产品安全漏洞管理规定等一系列法律法规的制定和实施构建起了网络安全强国的牢固基石。同时,数据安全保障工作也已取得显著成效。隐私计算、区块链、数据令牌化、数字水印、同态加密等技术的不断发展和演进为数据安全提供了有力保障。


2、威胁框架进入“攻防兼备”新阶段,并逐渐成为网络安全行业的风向标


过去一年多,以ATT&CK为代表的威胁框架热度不减,并逐渐进入“攻防兼备”的新阶段。 


2020 年1月,MITRE发布ATT&CK For ICS知识库,首次成功描绘了针对工控系统的攻击所涉及的技术。


2020年10月,MITRE发布ATT&CK v8版本,将PRE-ATT&CK替代为新的侦察和资源开发两个战术,较上一版本更加完整地描绘了攻击者针对传统IT系统的攻击过程。


2021年4月,MITRE发布ATT&CK v9版本,新增了ATT&CK for Containers,首次描绘出针对Kubernetes和Docker的攻击技术。


2020年8月,MITRE发布了用于主动防御的实战型指导框架:MITRE Shield。MITRE Shield提供了针对ATT&CK攻击技术对应防御技术的映射,防御者可以利用ATT&CK威胁框架分析攻击者的技战术,同时利用Shield知识库部署网络防御设施。


2021年6月,NSA协助MITRE发布了D3FEND框架,D3FEND作为ATT&CK的重要补充提供了对抗常见攻击技术的方法模型,并将每一项防御技术与ATT&CK模型中的攻击技术相对应。



3、网络犯罪产业链逐渐成型,地下黑产技术“深度融合”


随着RaaS(勒索软件即服务)、MaaS(恶意软件即服务)等模式的发展,网络犯罪产业链逐渐成型。网络犯罪过程中的任何环节都能够找到相应的服务,网络犯罪团伙俨然已经成为一个协作有序、相互匿名的项目团队。在日益成熟的网络犯罪产业链下,地下黑产技术“深度融合”。


4、勒索攻击已成为全球公敌,“多重勒索”、“APT化”成为勒索攻击标配


2020年,全球勒索攻击次数较2019年同比增长了150%以上,每次勒索的平均赎金达到了31万美元;2021年预计每11秒就发生一次勒索攻击,“勒索攻击产业”年收入将达到数千亿美元。勒索软件的威胁堪比“911”事件后全球恐怖主义所面临的挑战,并逐渐成为全球公敌。

在“RaaS(勒索软件即服务)”、“APT化”攻击模式以及“Big Game Hunting(大型狩猎游戏)”盛行的大背景下,勒索攻击的参与者越来越多,勒索攻击的事后追查越来越困难,勒索入侵的过程越来越复杂,勒索攻击的目标越来越有针对性。同时,勒索攻击者已经普遍不满足于依靠单一勒索方式达到目的,而是采取泄露攻击目标重要数据,对攻击目标发动DDoS攻击甚至威胁与受害企业相关的客户等“多重勒索”方式达成最终的目的。此外,随着云计算、物联网、移动互联网等技术的快速发展,勒索已经逐渐瞄准云上资源、IoT设备、工控系统以及移动终端设备。

我们预计,未来除了针对价值目标的“APT化”勒索攻击外,类似DarkSide组织以摧毁重要基础设施为目的的高级勒索攻击将会屡见不鲜,勒索攻击将成为危害网络安全的首要威胁。


5、供应链攻击成为黑客攻击重要突破口,其影响已经上升到国家层面


根据ATT&CK框架对供应链攻击的分类,供应链攻击一般分为软件供应链攻击、硬件供应链攻击和软件开发工具或依赖库供应链攻击三种形式:软件供应链攻击案例最为广泛,主要是通过在软件开发阶段修改源代码,分发阶段替换为恶意软件等方式进行攻击。2020年底发生的以窃密为目的的Solarwinds事件以及2021年年中发生的以勒索为目的的Kaseya事件都是典型的软件供应链攻击案例。硬件供应链攻击是通过替换、植入、修改等方式在硬件产品送达消费者之前的整个环节中进行攻击。相较于软件供应链攻击,硬件供应链攻击更加难以发现,攻击成本也相对更高。


通过篡改软件开发工具以及使用广泛的开源项目是供应链攻击的第三种方式,也被称为“下一代供应链攻击”。过去12个月就发生了929次针对开源软件的供应链攻击。相比之下,过去五年的总和才仅有200余起。


供应链攻击具有极端隐蔽、检测困难、攻击面广泛、攻击成本低回报高等特点。我们预计,未来供应链攻击事件会逐渐增长甚至爆发,国家级背景的攻击组织主导的供应链攻击事件将会屡见不鲜。由于我国大部分信息化系统的软硬件核心技术对欧美的依赖程度仍比较高,因此供应链安全将是我们未来面临的重要挑战。


6、就地取材,LOLBins、攻击性安全工具滥用成趋势


过去一年多,在“Living off the land”热度不减的同时,攻击性安全工具(Offensive Security Tools,简称OST)越来越受到攻击者的关注。“Living off the land”通常指攻击者使用目标主机上已安装的工具或功能进行攻击的方式,被利用的工具通常叫做“LOLBin”。虽然“Living off the land”可以最大限度地避免攻击被发现的可能,但仅利用系统提供的有限功能“拼凑”出整个攻击过程并非易事,攻击性安全工具便进入了攻击者的视野。攻击性安全工具是指在不利用软件自身缺陷或漏洞的情况下,以合法身份实施入侵或规避安全防御机制的软件代码库。攻击性安全工具一般由信息安全专业人士开发,目的是促进网络安全相关技术的发展。通俗地讲,攻击性安全工具就是开源代码共享网站可以下载到的渗透工具或者较为知名的商业渗透攻击套件的集合。


在详细报告中,我们基于ATT&CK框架总结了近年来在各个攻击阶段较为常用的LOLBins以及攻击性安全工具。


7、IoT僵尸网络变得更加隐蔽,NAS设备逐渐成为IoT攻击新宠


传统的IoT僵尸网络由连接到命令与控制(C&C)服务器的众多受感染设备(Bot)组成,犯罪分子使用C&C服务器控制着整个僵尸网络。这意味着只要关闭C&C服务器,就会使僵尸网络无法工作。但是过去一年多,我们发现越来越多的僵尸网络引入了P2P和Tor网络技术,这使得僵尸网络变得越来越隐蔽,更加难以关闭。


由于IoT类设备一般无重要数据存储,所以勒索软件一直以PC、服务器等IT类资产为目标。近年来随着NAS设备的普及,勒索软件已开始瞄准IoT设备进行攻击。我们预计,未来会有更多的勒索软件以IoT设备为目标进行攻击。由于附加在IoT设备上的安全能力普遍偏弱,其危害将会明显大于传统Windows/Linux下的勒索攻击。


8、Web攻击工具逐渐自动化、加密化,办公系统、安全设备漏洞威胁愈发严重


近年来,Web攻击工具呈现逐渐自动化、加密化的趋势。以冰蝎、哥斯拉为代表的新型Webshell管理工具正逐渐往流量加密的趋势发展。传统的以特征串匹配为基础的流量检测手段已逐渐失效,以流量行为特征、机器学习、威胁狩猎为基础的检测方式正逐渐走上舞台。以Goby、Xray为代表的漏扫工具方兴未艾,功能越来越强大,使用越来越方便,即使是入门级的新手也能依靠这些工具自动化完成大部分渗透工作。


此外,仍有不少0day漏洞被曝光,这其中大部分都是办公系统及安全设备本身的漏洞。这类漏洞在国内具有覆盖范围广、危害大,利用难度低的特点。由于OA系统通常位于DMZ区或内网,安全设备通常位于内网,加之国内部分企业网络环境相对复杂,访问控制策略不规范,时常会有内外网或DMZ区互通的现象出现。此时OA系统或办公设备的漏洞就会成为攻击者的绝佳入口,攻击者可利用OA系统挂马或当作跳板直达核心办公网,甚至利用安全设备漏洞直接关闭告警信息让攻击者畅通无阻。 


9、新挖矿木马如雨后春笋般涌现,容器成为挖矿攻击新目标


与普遍“APT”化的勒索攻击不同,为了获得更多的计算资源,挖矿攻击仍然以不断扩大感染面为主要目标。

过去一年多,随着以比特币为代表的数字加密货币的暴涨,挖矿木马也随之更加活跃,甚至一些知名APT组织也加入挖矿阵营。在这一年里,老的挖矿木马持续活跃,新的挖矿木马层出不穷。除了使用弱口令爆破、常见的漏洞利用外,挖矿木马逐渐瞄准容器等云上资源。同时借助僵尸网络的传播,进一步扩大感染范围获取巨额利益。


10、高级隐蔽网络蓬勃发展,防溯源能力显著增强


网络攻防对抗一直处于激烈的拉锯战之中,例如网络追踪溯源技术和网络隐蔽防溯源技术。网络追踪溯源技术通过对蜜罐、蜜网等网络诱骗技术的研究,深入分析各类攻击行为特征,深入了解网络攻击手段、攻击方法和攻击目标等,为攻击溯源和调查取证提供依据,实现网络攻击行为的快速跟踪溯源、精确定位。网络隐蔽防溯源技术则争锋相对,利用多级跳转、加密传输、反追踪、专线专用等技术手段,实现匿名安全的互联网接入。


11、网络靶场定位更加清晰,靶场建设作用日益明显


近年来,网络空间靶场逐渐定义为支撑网络安全战略建设的重要基础设施,是取得国家网络空间安全主导权的关键领域,事关国家和人民安全,网络空间靶场建设正在成为世界各国抢先布局的网络作战新高地。


通过网络空间靶场的建设构建可控、逼真的仿真环境及培训、演练、测试等各类场景,可用于完成人才培养、竞赛考核、实战演练、应急演练、系统测试、技术研究、效能评估等任务。


启明星辰集团新战略定位在“中国数字场景,安全最佳实践”。最佳实践需要依靠甲乙双方共同完成,必须和用户诚挚合作。在甲乙双方共生的生态中,共同联手探索数字化场景和应用的安全问题,不断提出变革,不断追求场景化创新,这样才能使安全产业更有价值、更加健康、持续地发展下去。


二十六年来,启明星辰持守信息安全行业,以在一寸宽的路上深入一公里的精神专注,在沉静中脚踏实地不断坚守,经历无数探索与风雨洗礼,与行业、用户共同成长。未来,我们会继续承担历史赋予的重担,守护数字中国情境下的网络安全,继续深植、耕耘不辍。


 

上一篇 下一篇